- •Безопасность вычислительных систем и сетей Учебное пособие
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации 7
- •1.1. Основные понятия и базовые требования к средству защиты информации 7
- •Раздел 2. Проектирование системы защиты персональных данных 52
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности 76
- •3.3. Разграничение доступа к ресурсам 98
- •3.4. Контроль целостности и аудит 163
- •3.5. Защита сети 168
- •3.6. Выводы по разделу 3 182
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации
- •1.1. Основные понятия и базовые требования к средству защиты информации
- •1.1.1. Функциональная безопасность системного средства
- •1.1.1.1. Чем определяются требования к средствам защиты информации
- •1.1.1.2. Требования к достаточности набора механизмов защиты информации
- •1.1.1.2.1. Требования к защите конфиденциальной информации (к классу защищенности 1г)
- •1.1.1.2.2. Требования к защите секретной информации (к классу защищенности 1в)
- •1.1.1.3. Требования к корректности реализации механизмов защиты информации
- •1.1.2. Эксплуатационная безопасность системного средства
- •1.1.2.1. Основы теории надежности систем защиты информации. Основные понятия и определения
- •1.1.2.2. Оценка эксплуатационной безопасности современных ос
- •1.2. Построение системы защиты информации на основе выполения требований к достаточности набора механизмов защиты и корректности их реализации
- •1.3. Общий подход к проектированию системы защиты на основе оценки рисков
- •1.3.1. Общий подход к оценке эффективности системы защиты
- •1.3.2. Способы задания исходных параметров для оценки защищенности
- •1.3.3. Особенности проектирования системы защиты на основе оценки рисков
- •1.3.4. Применение метода последовательного выбора уступок
- •1.3.5. Проектирование системы защиты с избыточным функционалом системы защиты
- •1.4. Выводы по разделу 1.
- •Раздел 2. Проектирование системы защиты персональных данных
- •2.1. Основополагающие документы по защите персональных данных
- •2.2. Классификация испДн
- •2.3. Методика определения актуальных угроз
- •2.3.1 Порядок определения исходной безопасности испДн
- •2.3.2 Порядок определения актуальных угроз безопасности пДн из исходного множества угроз
- •2.3.3. Пример построения модели угроз безопасности пДн и определения актуальных угроз
- •2.4. Выводы по разделу 2.
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности
- •3.1. Общая классификация методов защиты
- •3.2. Идентификация и аутентификация
- •3.2.1. Идентификация и аутентификация субъектов доступа
- •3.2.1.1. Идентификация и аутентификации субъекта доступа «пользователь»
- •3.2.1.1.1. Идентификация и аутентификации пользователя при входе в систему
- •2.2.1.1.2. Идентификация и аутентификации пользователя при доступе к ресурсам
- •3.2.1.2. Идентификация и аутентификации субъекта доступа «процесс»
- •3.2.2. Идентификация и аутентификация объектов доступа
- •3.2.2.1. Идентификация и аутентификация устройств
- •3.2.2.2. Идентификация и аутентификация файловых объектов
- •3.2.2.3. Идентификация и аутентификация сообщений, передаваемых по сети
- •3.3. Разграничение доступа к ресурсам
- •3.3.1. Общие положения
- •3.3.2. Определение и классификация задач, решаемых механизмами управления доступом к ресурсам
- •При функционировании защищаемого объекта в составе лвс дополнительно:
- •3.3.3. Требования к корректности решения задачи управления доступом
- •3.3.3.1. Каноническая модель управления доступом. Условие корректности механизма управления доступом
- •3.3.3.2. Понятие и классификация каналов взаимодействия субъектов доступа. Модели управления доступом с взаимодействием субъектов доступа.
- •3.3.3.3. Классификация методов управления виртуальными каналами взаимодействия субъектов доступа
- •2. В общем случае различие моделей управления доступом базируется на отличиях способов реализации канала взаимодействия субъектов доступа и методах управления им
- •3.3.4. Классификация механизмов управления доступом. Дискреционный и мандатный механизмы управления доступом
- •3.3.5. Разметка иерархических объектов доступа
- •3.3.6. Разграничения доступа для субъекта «процесс»
- •3.3.7. Разграничение доступа к объекту «процесс». Механизм обеспечения замкнутости программной среды
- •3.3.7.1. Механизм обеспечения замкнутости программной среды заданием пользователям списков исполняемых файлов
- •3.3.7.2. Механизм обеспечения замкнутости программной среды заданием пользователям каталогов с исполняемыми файлами, разрешенных на запуск
- •3.3.7.3. Расширение функциональных возможностей механизма обеспечения замкнутости программной среды
- •3.3.8. Управление доступом к каталогам, не разделяемым системой и приложениями
- •3.3.9. Ролевая модель разграничения доступа к ресурсам
- •3.3.10. Разделительная политика доступа к ресурсам. Сессионный контроль доступа
- •3.4. Контроль целостности и аудит
- •3.4.1. Контроль целостности
- •3.4.2. Аудит
- •3.5. Защита сети
- •3.5.1. Задача и способ защиты информации, обрабатываемой в составе лвс. Системный подход к проектированию системы защиты компьютерной информации в составе лвс
- •3.5.2. Задача и способ защиты доступа в сеть
- •5.5.2.1. Трансляция сетевых адресов и портов
- •3.5.2.2. Межсетевое экранирование
- •3.6. Выводы по разделу 3
1.3.2. Способы задания исходных параметров для оценки защищенности
Именно с заданием исходных параметров для оценки защищенности, что необходимо осуществить для применения математического метода проектирования системы защиты, связаны основные проблемы формализации задачи синтеза в рамках заданной модели. Рассмотрим возможные пути решения данной задачи.
Способы задания вероятностей и интенсивностей угроз.
1) Метод статистической оценки ( ) и .
Основным способом задания интенсивностей потоков угроз (вероятностей угроз ) и вероятностей взломов является получение этих значений на основе имеющейся статистики угроз безопасности информационных систем, в которой реализуется система защиты. Если существует статистика для аналогичной информационной системы (желательно, со сходной спецификой деятельности предприятия, в котором уже эксплуатируется система защиты, подобная проектируемой, либо оцениваемой), то задавать исходные параметры для оценки защищенности можно на этой основе.
Заметим, что подобная статистика периодически публикуется достаточно авторитетными изданиями (пример рассмотрен ранее), т.е. всегда существуют исходные данные для использования данного подхода для большинства приложений средств защиты информации.
Если же статистика по угрозам безопасности, на основе которой можно получить исходные данные для оценки защищенности отсутствует, то задать параметры можно одним из следующих способов.
2) Оптимистически - пессимистический подход.
способ равных интенсивностей .
При этом способе для расчета защищенности константа может быть выбрана любой. В формуле (1.2) она будет вынесена за скобки и в конечном итоге сократится, так что защищенность в данном случае будет зависеть только от потерь:
способ пропорциональности потерям
При этом способе предполагается, что чем больше потери от взлома, тем чаще осуществляются попытки несанкционированного доступа к этой информации (интенсивности потоков угроз прямо пропорциональны потерям). В этом случае защищенность будет зависеть от квадрата потерь:
3) Метод экспертной оценки
Экспертная оценка исходных параметров для расчета защищенности может осуществляться с использованием так называемой дельфийской группы. Дельфийская группа - это группа экспертов, созданная в целях сбора информации из определенных источников по определенной проблеме.
Необходимо задать лингвистический словарь возможных оценок экспертов, определить набор вопросов и условных значений квалификаций отдельных экспертов. После определения всех входных переменных производится поочередный опрос каждого эксперта. После опроса всех экспертов с учетом квалификации экспертов определяется общая оценка группы и согласованность (достоверность) ответов для каждого вопроса.
Эксперт оценивает эффективность (вероятность) отражения угроз элементами защиты pi и вероятность появления угроз Qi. Вероятности эксперт задает лингвистическими оценками (отлично, хорошо, удовлетворительно, плохо, не отражает; вероятно, близко к нулю, близко к единице, весьма вероятно и т.п.), которые затем, при помощи словаря, переводятся в числа pi и Qi в диапазоне [0;1]. Далее представлены возможные соответствия между лингвистическими оценками эффективности отражения угроз и соответствующими им числовыми значениями.
Для задания вероятности появления угрозы возможна оценка вероятности появления угрозы i-того вида в общем потоке угроз:
Исходя из заданной квалификации экспертов, рассчитываются их веса (значимость) в группе по формуле:
,
где si - квалификация эксперта, задаваемая в некотором диапазоне, например, от 0 до 10 в зависимости от опыта, образования и других качеств эксперта.
Затем оценки суммируются с учетом весов экспертов:
где pie и Qie - оценка вероятностей отражения и появления угроз, сделанные одним экспертом;
ke – «вес» эксперта в группе.
После расчета общей оценки всей группы рассчитывается согласованность ответов, которая может использоваться для оценки достоверности результатов. Согласованность рассчитывается при помощи среднеквадратического отклонения и выражается в процентах.
Максимальная согласованность достигается при одинаковых значениях оценок экспертов и в этом случае равняется 100%. Минимальная согласованность достижима при максимальном разбросе оценок экспертов.
Способы задания стоимости потерь.
1) Стоимость похищенной/искаженной/утерянной информации.
Исходные данные:
ci[руб./бит] - удельная цена информации,
v[бит/с] - скорость получения/искажения/уничтожения информации,
t[с] - время нахождения субъекта в системе,
Vi[бит] - объем информации.
2) Затраты от невозможности получения доступа к информации
Исходные данные:
ci[руб./бит] - удельная цена недоступности информации,
t[с] - время восстановления системы.
3) Способы задания соответствия между параметрами угроз, параметрами защищаемых объектов и параметрами элементов защиты.
Существуют различные классификации угроз:
по принципам и характеру воздействия на систему;
по используемым техническим средствам;
по целям атаки и т.п.
Очевидно, что стоимость потерь Ci удобнее задавать для угроз, классифицированных по целям атаки, а интенсивность определяется с помощью средств аудита, сетевого мониторинга и обнаружения вмешательства по механизмам атаки, способу проникновения в систему, то есть для угроз, классифицированных по принципам и характеру воздействия на систему. Вероятность отражения угрозы средствами защиты pi определяется в соответствии с теми механизмами, которые реализованы в каждом средстве, каждый из которых в общем случае может отражать несколько видов атак. Таким образом, необходимо задавать соответствие между всеми этими параметрами, см. рис.1.7. Для успешного приведения в соответствие различных параметров оценки защищенности необходимо корректное построение модели нарушителя, в которой отражаются его практические и теоретические возможности, априорные знания, время и место действия.
Рис.1.7. Взаимозависимость параметров защиты
Задание соответствия между стоимостью потерь и интенсивностью угроз можно осуществлять следующим образом:
статистический подход.
Статистический подход является основным, как обладающий большей достоверностью. Из анализа статистики можно выявить вероятности нанесения определенных видов ущерба при определенных видах взломов.
пессимистический подход.
Если не имеется достаточной статистики, можно воспользоваться другим способом. Будем считать, что при проникновении в систему злоумышленник наносит наибольший доступный ему вред.
При задании соответствия между интенсивностью угроз и вероятностью их отражения нужно учитывать, что, если в системе реализовано несколько механизмов, отражающих некоторую атаку, вероятность преодоления защиты рассчитывается следующим образом.
Если pk есть вероятность отражения i-той угрозы каждым средством защиты, то вероятность взлома системы ( ) будет:
,
а вероятность отражения угрозы системой защиты
.